防火墙的常用三种技术
防火墙技术概论
防火墙技术概论摘要:随着互联网技术的飞速发展,防火墙技术已经是现代化网络安全最有效果的一种方法,本文介绍了发防火墙的概念,并在此基础上主要汾西路防火墙技术和防火墙的种类。
关键词:防火墙技术;防火墙中图分类号:tp393.08 文献标识码:a 文章编号:1007-9599 (2012)19-0000-021 防火墙的概念防火墙一词是古代延伸而来的,在古代人们为了防止天灾的发生和天灾的蔓延,使用坚硬的物体放在一起作为屏蔽,这种屏蔽就叫做防火墙。
在现代,防火墙是指内部网和internet分开的一种方法,是一种防御系统,也是目前最重要的一种网络防护的手段。
它通过设定的安全措施来对各个网络之间的数据进行检测,从而决定哪个网络需要访问,哪个网络不能访问。
2 防火墙的基本原理防火墙的原理是数据信息的隔离掌控作用,它是一个数据分析系统,也是一个数据流限制系统。
防火墙技术主要目的是实现一个安全的网络环境,它要求凡是进出网络的信息包和数据包都一定要有授权、计划和策略,从而达到内网与外网的分离。
3 防火墙的技术和种类3.1 防火墙技术防火墙的技术分成深度数据包处理技术、网络地址转换技术、代理技术、socks技术、虚拟专用网技术和状态检测技术等。
(1)深度数据包处理技术。
深度数据包处理技术是把多个相关联的数据包统一放在一个数据流里面使其保持平稳的状态,在受到攻击或者发生异常时,还要保证这个数据流可以平稳运行,所以它对处理要求的速度、检测、分析和组装都异常的高,为了避免使用应用时间的延迟,需要毒地处理要求进行整体的提升。
(2)网络地址转换技术。
网络地址转换技术也称之为nat,它可以分成静态地址转换技术、端口级地址转换技术、地址转换技术池和三种。
网络地址转换技术是指把ip报头上没有经过合法注册的ip地址换成经过合法注册的ip地址,让范围内的所有主机可以自由的在局域网上访问internet。
而网络地址转换技术的作用是在隐藏了计算机主机的真正网络地址的同时,也顺利解决了地址不足够的问题,其主要运行在局域网地址没有效果的时候和网络人员希望地址隐藏的时候。
简述防火墙的主要技术指标
简述防火墙的主要技术指标
x
防火墙是一种安全设备,它可以保护网络免受外部攻击,以阻止未经授权的网络访问。
防火墙有很多不同的技术指标,下面介绍几项主要的技术指标:
一、性能指标:是指防火墙设备处理报文(包括过滤报文以及维护会话状态)的能力,以及处理相关的各项操作、功能等耗时的性能指标,常用性能如下:
1. 吞吐量:是指防火墙设备能够同时处理的报文数量;
2. 延迟:是指防火墙设备处理报文的时间间隔;
3. 启动时间:是指防火墙设备启动后,可以正常使用的时间;
4. 可用性:是指防火墙设备在正常运行条件下能够达到的可用性;
5. 内存开销:是指防火墙设备在处理报文时,每个报文所占用的内存开销。
二、安全指标:
1. 防火墙认证:防火墙认证是指在进行网络连接时,对用户的身份和权限进行认证;
2. 攻击防护:是指防火墙设备能够检测、阻止、并且记录网络中可疑的攻击,如拒绝服务攻击(DDoS)、TCP SYN Flood等;
3. 可靠性:是指防火墙设备在正常情况下的运行稳定性;
4. 审计功能:是指防火墙设备能够记录详细的网络访问日志,
以供审计之用;
5. 加密功能:是指防火墙设备能够支持的加密算法和密钥管理等功能。
网络防火墙对数据传输的加密与解密技术(十)
网络防火墙对数据传输的加密与解密技术随着互联网的发展,网络安全问题变得日益重要。
网络防火墙作为一种重要的安全保护措施,能够对数据传输进行加密和解密,有效防止非法访问和数据泄露。
本文将探讨网络防火墙对数据传输的加密与解密技术,以及其在保护数据安全方面的重要性。
一、数据加密技术在网络防火墙中的应用数据加密是保护敏感信息不被未授权者获得的重要手段。
网络防火墙通过使用加密算法对数据进行加密,将敏感信息转化为非可识别的密文,从而保证数据的安全传输。
常见的数据加密技术有对称加密和非对称加密。
1. 对称加密在对称加密算法中,发送方和接收方使用相同的密钥进行加密和解密操作。
当数据进入网络防火墙进行传输时,防火墙利用相同的密钥对数据进行加密,只有拥有相同密钥的接收方才能对密文进行解密。
对称加密算法具有加密和解密过程简单、执行效率高等特点,常用的对称加密算法有DES、AES等。
2. 非对称加密非对称加密算法使用一对密钥,分别为公钥和私钥。
发送方使用接收方的公钥对数据进行加密,只有接收方拥有私钥才能解密。
网络防火墙可以利用非对称加密技术对数据进行加密,以确保敏感信息在传输过程中不被窃取。
常用的非对称加密算法有RSA、Elgamal等。
二、网络防火墙对数据解密技术的实现网络防火墙不仅能够对传入的数据进行加密,同时也能对传出的数据进行解密。
当接收到密文数据时,防火墙根据加密算法和相应密钥进行解密操作,将原始数据恢复出来,从而保证数据在网络传输的完整性和可读性。
1. 密钥管理密钥在加密和解密过程中起到关键作用,因此密钥的管理非常重要。
网络防火墙通过密钥管理系统来管理密钥的生成、分发和更新,并确保密钥的安全性。
密钥管理系统可以采用密钥交换协议、密钥更新机制等手段来保障密钥的安全。
2. 解密算法解密算法是网络防火墙对密文进行解密的核心部分。
解密算法根据加密算法的特点和密钥的使用方式,通过逆向运算将密文还原为明文。
网络防火墙通常使用硬件解密模块,加速解密过程,提高解密效率和性能。
防火墙的工作技术分类与基础原理介绍
防火墙的工作技术分类与基础原理介绍防火墙借由监测所有的封包并找出不符规则的内容,可以防范电脑蠕虫或是木马程序的快速蔓延。
这篇文章主要介绍了防火墙的工作技术分类与基础原理,需要的朋友可以参考下具体介绍防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。
它是不同网络或网络安全域之间信息的唯一出入口,通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,有选择地接受外部访问,对内部强化设备监管、控制对服务器与外部网络的访问,在被保护网络和外部网络之间架起一道屏障,以防止发生不可预测的、潜在的破坏性侵入。
防火墙有两种,硬件防火墙和软件防火墙,他们都能起到保护作用并筛选出网络上的攻击者。
在这里主要给大家介绍一下我们在企业网络安全实际运用中所常见的硬件防火墙。
防火墙技术分类防火墙技术经历了包过滤、应用代理网关、再到状态检测三个阶段。
包过滤技术是一种简单、有效的安全控制技术,它通过在网络间相互连接的设备上加载允许、禁止来自某些特定的源地址、目的地址、TCP端口号等规则,对通过设备的数据包进行检查,限制数据包进出内部网络。
包过滤的最大优点是对用户透明,传输性能高。
但由于安全控制层次在网络层、传输层,安全控制的力度也只限于源地址、目的地址和端口号,因而只能进行较为初步的安全控制,对于恶意的拥塞攻击、内存覆盖攻击或病毒等高层次的攻击手段,则无能为力。
状态检测是比包过滤更为有效的安全控制方法。
对新建的应用连接,状态检测检查预先设置的安全规则,允许符合规则的连接通过,并在内存中记录下该连接的相关信息,生成状态表。
对该连接的后续数据包,只要符合状态表,就可以通过。
这种方式的好处在于:由于不需要对每个数据包进行规则检查,而是一个连接的后续数据包(通常是大量的数据包)通过散列算法,直接进行状态检查,从而使得性能得到了较大提高;而且,由于状态表是动态的,因而可以有选择地、动态地开通1024号以上的端口,使得安全性得到进一步地提高。
第 9 章 防火墙技术
1. 包过滤
包过滤又称"报文过滤" 它是防火墙传统的, 包过滤又称"报文过滤",它是防火墙传统的,最基本 的过滤技术. 的过滤技术.防火墙的包过滤技术就是通过对各种网 络应用,通信类型和端口的使用来规定安全规则. 络应用,通信类型和端口的使用来规定安全规则.根 据数据包中包头部分所包含的源IP地址 目的IP地址 地址, 地址, 据数据包中包头部分所包含的源 地址,目的 地址, 协议类型( 协议类型(TCP包,UDP包,ICMP包)源端口,目 包 包 包 源端口, 的端口及数据包传递方向等信息, 的端口及数据包传递方向等信息,对通信过程中数据 进行过滤,允许符合事先规定的安全规则(或称" 进行过滤,允许符合事先规定的安全规则(或称"安 全策略" 的数据包通过, 全策略")的数据包通过,而将那些不符合安全规则 的数据包丢弃. 的数据包丢弃. 防火墙的网络拓扑结构可简化为图9.1所示 所示. 防火墙的网络拓扑结构可简化为图 所示.在网络结 构中防火墙位于内,外部网络的边界,防火墙作为内, 构中防火墙位于内,外部网络的边界,防火墙作为内, 外部网络的惟一通道,所有进, 外部网络的惟一通道,所有进,出的数据都必须通过 防火墙来传输, 防火墙来传输,有效地保证了外部网络的所有通信请 求都能在防火墙中进行过滤. 求都能在防火墙中进行过滤.
今天的黑客技术可以容易地攻陷一个单纯的包过 滤式的防火墙. 滤式的防火墙.黑客们对包过滤式防火墙发出 一系列信息包,这些包中的IP地址已经被替换 一系列信息包,这些包中的 地址已经被替换 为一串顺序的IP地址 地址( ).一旦有一 为一串顺序的 地址(Fake IP).一旦有一 ). 个包通过了防火墙,黑客便可以用这个IP地址 个包通过了防火墙,黑客便可以用这个 地址 来伪装他们发出的信息.另外, 来伪装他们发出的信息.另外,黑客们还可使 用一种他们自己编制的路由器攻击程序, 用一种他们自己编制的路由器攻击程序,这种 程序使用路由器协议来发送伪造的路由信息, 程序使用路由器协议来发送伪造的路由信息, 这样所有的包都会被重新路由到一个入侵者所 指定的特别地址. 指定的特别地址.
防火墙技术
防火墙技术7.3.1 防火墙技术概述1.防火墙的概念古代人们在房屋之间修建一道墙,这道墙可以防止发生火灾的时候蔓延到别的房屋,因此被称为防火墙,与之类似,计算机网络中的防火墙是在两个网络之间(如外网与内网之间,LAN的不同子网之间)加强访问控制的一整套设施,可以是软件,硬件或者是软件与硬件的结合体。
防火墙可以对内部网络与外部网络之间的所有连接或通信按照预定的规则进行过滤,合法的允许通过,不合法的不允许通过,以保护内网的安全,如图7-4所示。
防火墙图7-4 防火墙随着网络的迅速发展和普及,人们在享受信息化带来的众多好处的同时,也面临着日益突出的网络安全问题,事实证明,大多数的黑客入侵事件都是由于未能正确安装防火墙造成的。
2.防火墙的作用和局限性防火墙是一种非常有效的网络安全模型,通过它可以隔离风险区域和安全区域。
防火墙的基本功能主要表现在:(1)限制未授权的外网用户进入内部网络,保证内网资源的私有性;(2)过滤掉内部不安全的服务被外网用户访问;(3)对网络攻击进行检测和告警;(4)限制内部用户访问特定站点;(5)记录通过防火墙的信息内容和活动,为监视Internet安全提供方便。
值得注意的是,安装了防火墙之后并不能保证内网主机和信息资源的绝对安全,防火墙作为一种安全机制,也存在以下的局限性:(1)防火墙不能防范恶意的知情者。
例如,不能防范恶意的内部用户通过磁盘拷贝将信息泄漏到外部;(2)防火墙不能防范不通过它的连接。
如果内部用户绕开防火墙和外部网络建立连接,那么这种通信是不能受到防火墙保护的;(3)防火墙不能防备全部的威胁,即未知的攻击;(4)防火墙不能查杀病毒,但可以在一定程度上防范计算机受到蠕虫病毒的攻击和感染。
防火墙技术经过不断的发展,已经具有了抗IP假冒攻击、抗木马攻击、抗口令字攻击、抗网络安全性分析、抗邮件诈骗攻击的能力,并且朝着透明接入、分布式防火墙的方向发展。
但是防火墙不是万能的,它需要与防病毒系统和入侵检测系统等其他网络安全产品协同配合,进行合理分工,才能从可靠性和性能上满足用户的安全需求。
简述防火墙的主要技术指标
简述防火墙的主要技术指标
防火墙的主要技术指标
1、网络连接技术指标:
(1) 连接速度:指网络的总带宽能力,测量单位为 Mbps,指网络的总带宽能力,测量单位为 Mbps;
(2) 吞吐量:指单位时间内内网到外网的传输数据量,测量单位为Mbps。
2、安全性技术指标:
(1) 防护能力:指防火墙能否拦截网络攻击,防止病毒、木马等恶意程序传播,预防网络被攻击和数据泄露。
(2) 访问控制:指防火墙的访问控制能力,能够实现对网络访问的控制,以便实现可信的网络安全。
(3) 安全评估:指对系统安全性进行评估的能力,以便了解系统的安全性状况,并及时排查隐患。
(4) 安全审计:指能够从日志中提取系统安全事件的能力,以便及时发现安全问题,提出有效的解决办法。
3、可靠性技术指标:
(1) 可靠性:指防火墙本身可靠性,如软件和硬件的可靠性,能够抵抗外界的攻击,确保系统的正常运行。
(2) 负载能力:指防火墙在处理多个网络连接的能力,以保证高效的网络访问。
(3) 高可用性:指防火墙能够在故障时自动恢复,以保证长时间
的网络运行。
防火墙的nat原理
防火墙的nat原理
网络地址转换(NAT)是防火墙中常用的一种技术,其原理是将内部网
络中的IP地址映射为防火墙的公共IP地址,从而实现内部主机与外部网络
进行通信的目的。
NAT技术能够有效保护内部网络的安全,阻止外部网络
直接访问内部主机。
具体而言,防火墙的NAT原理是在内网主机向外部网络发送数据报文时,防火墙会将数据包的源IP地址改为防火墙的公共IP地址,同时在数据包的
转发表中记录下这种映射关系。
当外部网络返回数据时,防火墙会根据转发
表中的映射关系将数据包的目标IP地址改为对应的内网主机IP地址,然后
转发给内网主机。
通过NAT技术,内网中的多个主机可以共享一个公共IP地址与外部网
络通信,有效减少了公共IP地址的使用数量,提高了网络的安全性和效率。
同时,防火墙可以通过NAT技术实现端口映射等高级功能,进一步提升网
络的功能和灵活性。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
防火墙的常用三种技术
导读:我根据大家的需要整理了一份关于《防火墙的常用三种技术》的内容,具体内容:关于防火墙常用的三种技术你们知道是哪三个吗?如果不知道的话,下面就由我来带大家学习一下防火墙的三种常用技术吧。
:1.包过滤技术包过滤是最早使用的一种防火墙技术,...
关于防火墙常用的三种技术你们知道是哪三个吗?如果不知道的话,下面就由我来带大家学习一下防火墙的三种常用技术吧。
:
1.包过滤技术
包过滤是最早使用的一种防火墙技术,它的第一代模型是"静态包过滤"(Static Packet Filtering),使用包过滤技术的防火墙通常工作在OSI 模型中的网络层(Network Layer)上,后来发展更新的"动态包过滤"(Dynamic Packet Filtering)增加了传输层(Transport Layer),简而言之,包过滤技术工作的地方就是各种基于TCP/IP协议的数据报文进出的通道,它把这两层作为数据监控的对象,对每个数据包的头部、协议、地址、端口、类型等信息进行分析,并与预先设定好的防火墙过滤规则(Filtering Rule)进行核对,一旦发现某个包的某个或多个部分与过滤规则匹配并且条件为"阻止"的时候,这个包就会被丢弃。
适当的设置过滤规则可以让防火墙工作得更安全有效,但是这种技术只能根据预设的过滤规则进行判断,一旦出现一个没有在设计人员意料之中的有害数据包请求,整个防火墙的保护就相当于摆设了。
也许你会想,让用户自行添加不行吗?
但是别忘了,我们要为是普通计算机用户考虑,并不是所有人都了解网络协议的,如果防火墙工具出现了过滤遗漏问题,他们只能等着被入侵了。
一些公司采用定期从网络升级过滤规则的方法,这个创意固然可以方便一部分家庭用户,但是对相对比较专业的用户而言,却不见得就是好事,因为他们可能会有根据自己的机器环境设定和改动的规则,如果这个规则刚好和升级到的规则发生冲突,用户就该郁闷了,而且如果两条规则冲突了,防火墙该听谁的,会不会当场"死给你看"(崩溃)?也许就因为考虑到这些因素,至今我没见过有多少个产品会提供过滤规则更新功能的,这并不能和杀毒软件的病毒特征库升级原理相提并论。
为了解决这种鱼与熊掌的问题,人们对包过滤技术进行了改进,这种改进后的技术称为"动态包过滤"(市场上存在一种"基于状态的包过滤防火墙"技术,即Stateful-based Packet Filtering,他们其实是同一类型),与它的前辈相比,动态包过滤功能在保持着原有静态包过滤技术和过滤规则的基础上,会对已经成功与计算机连接的报文传输进行跟踪,并且判断该连接发送的数据包是否会对系统构成威胁,一旦触发其判断机制,防火墙就会自动产生新的临时过滤规则或者把已经存在的过滤规则进行修改,从而阻止该有害数据的继续传输,但是由于动态包过滤需要消耗额外的资源和时间来提取数据包内容进行判断处理,所以与静态包过滤相比,它会降低运行效率,但是静态包过滤已经几乎退出市场了,我们能选择的,大部分也只有动态包过滤防火墙了。
基于包过滤技术的防火墙,其缺点是很显著的:它得以进行正常工作的一切依据都在于过滤规则的实施,但是偏又不能满足建立精细规则的要求
(规则数量和防火墙性能成反比),而且它只能工作于网络层和传输层,并不能判断高级协议里的数据是否有害,但是由于它廉价,容易实现,所以它依然服役在各种领域,在技术人员频繁的设置下为我们工作着。
2、应用代理技术
由于包过滤技术无法提供完善的数据保护措施,而且一些特殊的报文攻击仅仅使用过滤的方法并不能消除危害(如SYN攻击、ICMP洪水等),因此人们需要一种更全面的防火墙保护技术,在这样的需求背景下,采用"应用代理"(Application Proxy)技术的防火墙诞生了。
我们的读者还记得"代理"的概念吗?代理服务器作为一个为用户保密或者突破访问限制的数据转发通道,在网络上应用广泛。
我们都知道,一个完整的代理设备包含一个服务端和客户端,服务端接收来自用户的请求,调用自身的客户端模拟一个基于用户请求的连接到目标服务器,再把目标服务器返回的数据转发给用户,完成一次代理工作过程。
那么,如果在一台代理设备的服务端和客户端之间连接一个过滤措施呢?这样的思想便造就了"应用代理"防火墙,这种防火墙实际上就是一台小型的带有数据检测过滤功能的透明代理服务器(Transparent Proxy),但是它并不是单纯的在一个代理设备中嵌入包过滤技术,而是一种被称为"应用协议分析"(Application Protocol Analysis)的新技术。
"应用协议分析"技术工作在OSI模型的最高层——应用层上,在这一层里能接触到的所有数据都是最终形式,也就是说,防火墙"看到"的数据和我们看到的是一样的,而不是一个个带着地址端口协议等原始内容的数据包,因而它可以实现更高级的数据检测过程。
整个代理防火墙把自身映射
为一条透明线路,在用户方面和外界线路看来,它们之间的连接并没有任何阻碍,但是这个连接的数据收发实际上是经过了代理防火墙转向的,当外界数据进入代理防火墙的客户端时,"应用协议分析"模块便根据应用层协议处理这个数据,通过预置的处理规则(没错,又是规则,防火墙离不开规则)查询这个数据是否带有危害,由于这一层面对的已经不再是组合有限的报文协议,甚至可以识别类似于"GET /sql.asp?id=1 and 1"的数据内容,所以防火墙不仅能根据数据层提供的信息判断数据,更能像管理员分析服务器日志那样"看"内容辨危害。
而且由于工作在应用层,防火墙还可以实现双向限制,在过滤外部网络有害数据的同时也监控着内部网络的信息,管理员可以配置防火墙实现一个身份验证和连接时限的功能,进一步防止内部网络信息泄漏的隐患。
最后,由于代理防火墙采取是代理机制进行工作,内外部网络之间的通信都需先经过代理服务器审核,通过后再由代理服务器连接,根本没有给分隔在内外部网络两边的计算机直接会话的机会,可以避免入侵者使用"数据驱动"攻击方式(一种能通过包过滤技术防火墙规则的数据报文,但是当它进入计算机处理后,却变成能够修改系统设置和用户数据的恶意代码)渗透内部网络,可以说,"应用代理"是比包过滤技术更完善的防火墙技术。
但是,似乎任何东西都不可能逃避"墨菲定律"的规则,代理型防火墙的结构特征偏偏正是它的最大缺点,由于它是基于代理技术的,通过防火墙的每个连接都必须建立在为之创建的代理程序进程上,而代理进程自身是要消耗一定时间的,更何况代理进程里还有一套复杂的协议分析机制在同时工作,于是数据在通过代理防火墙时就不可避免的发生数据迟滞现象,
换个形象的说法,每个数据连接在经过代理防火墙时都会先被请进保安室喝杯茶搜搜身再继续赶路,而保安的工作速度并不能很快。
代理防火墙是以牺牲速度为代价换取了比包过滤防火墙更高的安全性能,在网络吞吐量不是很大的情况下,也许用户不会察觉到什么,然而到了数据交换频繁的时刻,代理防火墙就成了整个网络的瓶颈,而且一旦防火墙的硬件配置支撑不住高强度的数据流量而发生罢工,整个网络可能就会因此瘫痪了。
所以,代理防火墙的普及范围还远远不及包过滤型防火墙,而在软件防火墙方面更是几乎没见过类似产品了——单机并不具备代理技术所需的条件,所以就目前整个庞大的软件防火墙市场来说,代理防火墙很难有立足之地。
3、状态检测技术
这是继"包过滤"技术和"应用代理"技术后发展的防火墙技术,它是CheckPoint技术公司在基于"包过滤"原理的"动态包过滤"技术发展而来的,与之类似的有其他厂商联合发展的"深度包检测"(Deep Packet Inspection)技术。
这种防火墙技术通过一种被称为"状态监视"的模块,在不影响网络安全正常工作的前提下采用抽取相关数据的方法对网络通
信的各个层次实行监测,并根据各种过滤规则作出安全决策。
"状态监视"(Stateful Inspection)技术在保留了对每个数据包的头部、协议、地址、端口、类型等信息进行分析的基础上,进一步发展了"会话过滤"(Session Filtering)功能,在每个连接建立时,防火墙会为这个连接构造一个会话状态,里面包含了这个连接数据包的所有信息,以后这个连接都基于这个状态信息进行,这种检测的高明之处是能对每个数据包的
内容进行监视,一旦建立了一个会话状态,则此后的数据传输都要以此会话状态作为依据,例如一个连接的数据包源端口是8000,那么在以后的数据传输过程里防火墙都会审核这个包的源端口还是不是8000,否则这个数据包就被拦截,而且会话状态的保留是有时间限制的,在超时的范围内如果没有再进行数据传输,这个会话状态就会被丢弃。
状态监视可以对包内容进行分析,从而摆脱了传统防火墙仅局限于几个包头部信息的检测弱点,而且这种防火墙不必开放过多端口,进一步杜绝了可能因为开放端口过多而带来的安全隐患。
由于状态监视技术相当于结合了包过滤技术和应用代理技术,因此是最先进的,但是由于实现技术复杂,在实际应用中还不能做到真正的完全有效的数据安全检测,而且在一般的计算机硬件系统上很难设计出基于此技术的完善防御措施(市面上大部分软件防火墙使用的其实只是包过滤技术加上一点其他新特性而已)。